Prezentacja z webinarium, które odbyło się 11 kwietnia 2017. Więcej> http://pwc.to/2on7kGp
24 maja 2016 r. weszło w życie rozporządzenie UE, które zmienia przepisy o ochronie danych osobowych. Rozporządzenie jest stosowane wprost, dlatego jest wiążącym prawem dla wszystkich przedsiębiorców (zastępując przepisy polskiej ustawy o ochronie danych osobowych). Na dostosowanie się do nowej regulacji, przedsiębiorcy mają czas do 25 maja 2018 r. Brak zgodności z RODO po tym dniu może wiązać się z nałożeniem wysokich kar finansowych. Dla wielu przedsiębiorców obecny czas to już ostatni dzwonek na rozpoczęcie wdrażania przepisów RODO. Dlaczego?
2. PwC’s Digital Services 2
Dwadzieścia lat temu Dzisiaj
On the Internet, nobody
knows you’re a dog
2 sons
Sister is a lawyer
Married
Likes: Asian cuisine
Dislikes: cars
Age: 38-39
Lives in New York City
Occupation: textile designer
Wi-fi warrior
ZIP code: 1070
Sister is a lawyer
Politicaly active
Married
Likes: Asian cuisine
Household income: $100,000+
Owns a laptop
Likes: retail
Likes: fashion
Mother: Rosalind Burd
Prevoius address: 711 Willox Ave,
NY
Likes: cooking & recipes
Works in: Textile productions
Spent $180 on intimate app &
undergarments on Oct. 10, 2016
Likes: business & finance
3. PwC’s Digital Services
Dane osobowe są cenne: stąd rosnąca ilość cyberataków
3
eBay
Wyciek danych o 145
milionach kont
Tesco Bank
Wyciek danych o 40 tysiącach
kont bankowych
JP Morgan Chase & Co.
Wyciek danych o 76 milionach kont
Assist Law
Firma marketingowa ukarana grzywną
w wysokość 35 tysięcy euro za
profilowanie i przesyłanie klientom
wiadomości reklamowych bez ich zgody
TalkTalk
Operator komórkowy ukarany grzywną
w wysokości 470 tysięcy euro za słabe
zabezpieczenie strony, którego
wynikiem był wyciek danych o 157
tysiącach klientów
2016 był rokiem rekordowym pod względem wycieku danych osobowych
Yahoo
Wyciek danych o 1 miliardzie
kont pocztowych
Verizon Enterprise Services
Wyciek danych o 1, 5 milionie klientów
biznesowych
4. PwC’s Digital Services
Czym są dane osobowe?
4
Zgodnie z artykułem 4 pkt. 1 RODO:
„dane osobowe” oznaczają informacje
o zidentyfikowanej
lub możliwej do zidentyfikowania
osobie fizycznej
Nie tylko imię i nazwisko, ale także
informacje, które choćby pośrednio
określają osobę, której dane dotyczą,
np.:
Pochodzenie
Fryzura Wiek Płeć
Numer telefonu
Ubranie
5. PwC’s Digital Services
RODO:
rodzaje danych
5
Obecnie –
Rozporządzenie o ochronie
danych osobowych (RODO)
Rozporządzenie mówi o
następujących rodzajów
danych osobowych:
1. Dane „zwykłe”
2. Szczególne kategorie
danych osobowych
3. Dane o wyrokach
skazujących i naruszeniach
prawa
Dotychczas –
Ustawa o ochronie danych
osobowych (UODO)
Ustawa dzieliła dane na:
1. Dane „zwykłe”
2. Dane wrażliwe
6. PwC’s Digital Services
RODO:
kluczowe definicje
6
Przetwarzanie:
operacja na danych
osobowych taka jak:
zbieranie, utrwalanie,
organizowanie,
porządkowanie,
przechowywanie,
adaptowanie lub
modyfikowanie, pobieranie,
przeglądanie,
wykorzystywanie,
ujawnianie,
rozpowszechnianie,
dopasowywanie,
ograniczanie, usuwanie lub
niszczenie;
Administrator:
oznacza osobę fizyczną lub
prawną, organ publiczny,
jednostkę lub inny podmiot,
który samodzielnie lub
wspólnie z innymi ustala cele
i sposoby przetwarzania
danych osobowych;
7. PwC’s Digital Services
Rozporządzenie o ochronie danych osobowych (RODO)
7
Od kiedy?
Obecnie trwa okres przejściowy,
ustanowiony na wdrożenie wymagań
RODO.
RODO będzie w pełni stosowalne
od 25 maja 2018. Jednak,
ponieważ zawiera uciążliwe
i czasochłonne obowiązki, należy
już teraz rozpocząć dostosowanie
organizacji do zapisów RODO.
RODO dotyczy:
• każdego podmiotu, który prowadzi
działalności na terytorium UE
z wykorzystaniem danych
osobowych
• każdego podmiotu oferującej
produkty i/lub usługi dla osób
fizycznych na terenie UE, w tym
firm, które nie mają swoich siedzib
na terenie UE,
• każdego podmiotu, który
monitoruje zachowanie takich
osób
Rozporządzenie Parlamentu
Europejskiego
i Rady (UE) 2016/679
z dnia 27 kwietnia 2016 roku
w sprawie ochrony osób fizycznych w
związku
z przetwarzaniem danych osobowych i
w sprawie swobodnego przepływu
takich danych oraz uchylenia
dyrektywy 95/46/WE
8. PwC’s Digital Services
Założenia do zmiany przepisów o ochronie danych osobowych
8
RODO
Ograniczone
przepisy 28
państw
Dyrektywa
Ustawy 28
państw UE Przepisy
szczególne
Ustawa o ochronie
danych osobowych
9. PwC’s Digital Services
Zgodność z RODO: do kiedy?
9
Okres przejściowy na
zapewnienie zgodności
z zapisami RODO Pełna
stosowalność
Dyrektywa 95/46/WE
Parlamentu
Europejskiego
i Rady z dnia 24
października 1995 r.
w sprawie ochrony
osób fizycznych
w zakresie
przetwarzania danych
osobowych
i swobodnego
przepływu tych danych
25.05.20182016 - 20181998 - 2018
10. PwC’s Digital Services
Jak RODO zmienia podejście do ochrony danych osobowych?
Przed RODO RODO
Różne przepisy
w każdym kraju członkowskim UE
Jednolite rozporządzenie, obowiązujące w takim
samych brzmieniu
na terenie całej Unii Europejskiej
Podejście od strony jednorazowej (początkowej)
oceny potrzeb ochrony danych osobowych
Podejście od strony każdorazowej analizy ryzyka.
Ochrona danych osobowych jako ciągły proces
Możliwość podjęcia działań korygujących
po wykryciu naruszenia, prowadzących do
oddalenia ryzyka sankcji
Istotne ograniczenie lub brak możliwości działań
korygujących (oddalających ryzyko sankcji)
po wykryciu nieprawidłowości
Ograniczone realne możliwości
egzekwowania zgodności z przepisami
Odstraszające kary, które wesprą egzekwowanie
zgodności z przepisami RODO
10
11. PwC’s Digital Services
RODO wzmacnia prawa obywateli
11
Przejrzystość
Obywatel ma prawo do
uzyskania informacji na
temat sposobu
przetwarzania jego
danych osobowych
Dodatkowe uprawnienia:
• Prawo do żądania ograniczenia
przetwarzania danych
• Prawo do przeniesienia danych
• Prawo do bycia zapomnianym
• Prawo do
otrzymania
kopii danych
• Sprzeciw wobec
profilowania
Wzmocnione prawo
egzekwowania
roszczeń:
Obywatel może dochodzić
odszkodowania w sądzie
cywilnym
12. PwC’s Digital Services
RODO to wyzwanie dla firmy
12
Prawny
Obsługa
klienta HR
Marketing
Bezpiecz-
eństwo/
IT
Zakupy
Wpływ
na firmę
Wymagania dla Privacy by Design
Weryfikacja procesorów
Certyfikacja
Transfer danych
Określenie kontrolerów i procesorów danych
Uwzględnienie RODO w standardach
umownych
Informowanie regulatora
Prawo do dostępu i zmiany
Prawo do bycia zapomnianym
Wymagania dla Privacy by Default
Dialog z klientami
Bezpieczeństwo przez cały cykl życia
informacji
Przenoszenie danych
Prawa dostępu, uwierzytelnienie
Wymagania dla PIA
Obsługa incydentów
Uwzględnienie zgody lub jej braku
Ograniczenia dostępu do danych
Profilowanie
Wymagania dla Privacy by Design
Szkolenia
Dostęp do danych
Prawo do bycia zapomnianym
Dialog z pracownikami
Wymagania RODO mają wpływ na wiele obszarów działalności firmy:
13. PwC’s Digital Services
Pytanie oraz wyniki
Co budzi Państwa największe
obawy w związku
z wprowadzeniem zapisów
RODO?
a) Zmiany procesów
biznesowych
b) Zmiany technologiczne
c) Zmiany w obszarze
prawnym
13
zmiana
procesów
biznesowych
42%
zmiany
technologiczne
27%
zmiany w
obszarze
prawnym
31%
zmiana procesów biznesowych
zmiany technologiczne
zmiany w obszarze prawnym
14. PwC’s Digital Services
Podstawa prawna przetwarzania danych
zgoda
niezbędność do wykonania
umowy
niezbędność do
wypełnienia obowiązku
prawnego
ochrona żywotnych
interesów podmiotów
danych
zadania realizowane
w interesie publicznym
uzasadnione interesy
realizowane przez
administratora
• Warunki udzielenia zgody
• Przetwarzanie danych
osobowych dziecka
14
Przesłanki prawne przetwarzania danych osobowych:
15. PwC’s Digital Services
Obowiązki informacyjne
Rozszerzenie obowiązków informacyjnych:
zakres informacji
wyłączenia obowiązku
sposób i termin wykonania obowiązku
prawo dostępu do danych
• Możliwość pobierania opłat za wykonanie
obowiązku informacyjnego
• Sankcje za niewykonanie
obowiązku informacyjnego
15
16. PwC’s Digital Services
Rejestrowanie czynności przetwarzania danych
Obowiązek prowadzenia rejestru czynności
przetwarzania danych osobowych:
• Art. 30 rozporządzenia
• Zakres rejestru
• Forma rejestru
• Rejestr czynności przetwarzania danych
a rejestr kategorii czynności
• Wyłączenia z obowiązku prowadzenia rejestru
• Sankcje za niewykonywanie obowiązku
16
17. PwC’s Digital Services
Ocena skutków przetwarzania danych
Privacy Impact Assessment, PIA:
• Art. 35 rozporządzenia
• Przesłanki przeprowadzenia PIA
• Sposób przeprowadzenia PIA
• Forma wyniku PIA
• Sankcje za niewykonanie PIA
17
18. PwC’s Digital Services
Projektowanie ochrony danych osobowych
Privacy by Design:
• Art. 25 ust. 1
rozporządzenia
• Koncepcja i cel Privacy
by Design
• Podstawowe zasady
Privacy by Design
• Sposób
przeprowadzenia
i udokumentowania
• Sankcje za
niewykonanie
obowiązku
18
19. PwC’s Digital Services
Domyślna ochrona danych osobowych
Privacy by Default:
• Art. 25 ust. 2 rozporządzenia
• Koncepcja i cel Privacy by Default
• Privacy by Default jako element Privacy by Design
• Sposób przeprowadzenia i udokumentowania
• Sankcje za niewykonanie obowiązku
19
20. PwC’s Digital Services
Obowiązek usunięcia lub ograniczenia przetwarzania danych
• Art. 17 i 18 rozporządzenia
• Przesłanki powstania obowiązku
• Zakres i sposób wykonania obowiązku
• Porównanie do dotychczasowego obowiązku usunięcia danych
• Sankcje za niewykonanie obowiązku
20
21. PwC’s Digital Services
Zgłaszanie naruszeń ochrony danych osobowych
• Treść obowiązku zgłoszenia naruszenia ochrony
danych osobowych
• Art. 33 rozporządzenia
• Termin zgłoszenia
• Zakres zgłoszenia
• Zgłoszenie do organu nadzoru
• Zawiadomienie o naruszeniu osób, których dane
dotyczą
• Sankcje za niewykonanie obowiązku
21
22. PwC’s Digital Services
Bezpieczeństwo danych osobowych
• Uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz
ryzyko naruszenia praw lub wolności osób fizycznych (…) administrator i podmiot przetwarzający wdrażają
odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku,
w tym (…):
pseudonimizację i szyfrowanie danych osobowych,
zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług
przetwarzania,
zdolność do szybkiego przywrócenia dostępności danych osobowych
i dostępu do nich w razie incydentu fizycznego lub technicznego,
regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych
i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania.
22
23. PwC’s Digital Services
Sankcje i ryzyko związane z niewykonywaniem wymagań RODO
23
• Kontrole organów
nadzoru
• Sankcje
administracyjne
• Sankcje karne
• Problemy
z działalnością na
terenie UE
• Zakaz transferu
danych
• Ograniczenie
prowadzonych
działań
• Kary finansowe
• Utrata przychodów
• Koszty procesowe
• Odszkodowania
• Utrata zaufania
klientów
• Utrata zaufania
pracowników
• Spadek siły marki
i odejście klientów
Ryzyko regulacyjne Ryzyko operacyjne Ryzyko finansowe Ryzyko reputacyjne
24. PwC’s Digital Services
Recepta od PwC?
24
• Działaj i nie czekaj: do 25 maja 2018 r.
pozostały 281 dni robocze
• Zaszyj ochronę danych osobowych
w DNA firmy
• Nie ma lekarstwa, są wytyczne jak się
wyleczyć i osiągnąć zgodność z RODO
25. PwC’s Digital Services
17/04/11
Dziękujemy za uwagę
Sylwia Pusz
Partner
Tel.: +48 603 33 33 09
sylwia.pusz@pl.pwc.com
Anna Kobylańska
Adwokat
Tel.: +48 519 50 62 26
anna.kobylanska@pl.pwc.com
Magdalena Kaj
Konsultant
Tel.: +48 519 50 45 92
magdalena.kaj@pl.pwc.com